Het Nationaal Cyber Security Centrum (NCSC) waarschuwt voor een zeer kritiek lek voor Apache Log4j-software voor webservers. Dit lek maakt het mogelijk netwerken binnen te dringen en ransomware-aanvallen uit te voeren. Inmiddels is een patch beschikbaar.

De aangetroffen kwetsbaarheid in de Apache Log4j-software (CVE-2021-44228), die inmiddels de naam Log4shell heeft meegekregen, maakt het mogelijk om de rechten voor webservers te compromitteren. De aangevallen software maakt het onder meer mogelijk te registeren welke gebruikersnamen op websites inloggen en wanneer.

Hackmethode

De hack wordt veroorzaakt doordat de JNDI-eigenschappen in configuratie-settings, logbestanden en parameters niet tegen door hackers gecontroleerde LDAP- en andere JNDI-gerelateerde endpoints beschermen. Hierdoor is het voor hackers eenvoudig de logbestanden of de parameters van deze bestanden op afstand over te nemen en vervolgens via LDAP-servers code te verspreiden wanneer de zogenoemde message lookup is aangezet.

Tip: We hebben inmiddels een uitgebreid achtergrondverhaal gepubliceerd over het Log4j-lek. Dat kun je hier lezen.

Ransomware eenvoudig te verspreiden

Voor hackers wordt het op deze manier eenvoudig ransomware te verspreiden en netwerken aan te vallen. Volgens experts is het zeer aannemelijk dat hackers inmiddels via deze hackmethode in bedrijfsnetwerken aanwezig zijn en een golf van ransomware-aanvallen valt te verwachten.

De Nederlandse cyberwaakhond geeft bedrijven aan zeer alert op de gevonden kwetsbaarheid te zijn. Het NCSC heeft aan dat de hackmethode al in Nederland actief is. Opgeroepen wordt zo snel mogelijk Apache patches te installeren.

Detectie-tool

Cybersecuritysspecialist Northwave heeft inmiddels een detectie-tool ontwikkeld waarmee bedrijven de kwetsbaarheid in Apache Log4j kunnen ontdekken. Deze tool checkt op kwetsbare systemen die payload-injectie in de User-Agent header gebruiken en dit doen als onderdeel van een HTTP GET-verzoek. Hierbij wordt gekeken naar inkomende DNS-verzoeken met een speciaal aangemaakte UUID. In plaats van het uitrollen van een LDAP-server, levert het kijken naar inkomend DNS-verkeer meer op dat kwetsbare systemen worden ontdekt die filtering voor uitgaand verkeer aan hebben staan. Uitgaand DNS-verkeer is vaak toegestaan, zo blijkt uit de praktijk.

De specialisten van Northwave geven bij de tool wel een belangrijke disclaimer af. Hun tool checkt alleen User Agent en HTTP GET. Hierdoor ontstaan mogelijk false negatives in gevallen waar andere headers, meer specifiek onder meer inputvelden, tot doel moeten worden gemaakt als onderdeel van een HTTP GET-verzoek. In deze gevallen raden de securityexperts aan andere checks uit te voeren.